Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2637-1 apache2

Bulletin d'alerte Debian

DSA-2637-1 apache2 -- Plusieurs problèmes

Date du rapport :

4 mars 2013

Paquets concernés :

apache2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-3499, CVE-2012-4558, CVE-2013-1048.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le serveur HTTPD Apache.

• CVE-2012-3499

  Les modules mod_info, mod_status, mod_imagemap, mod_ldap et mod_proxy_ftp ne protégeaient pas correctement les noms d'hôtes et les URI dans la sortie HTML, avec pour conséquence des vulnérabilités de script intersite.

• CVE-2012-4558

  mod_proxy_balancer ne protégeait pas correctement les noms d'hôtes et les URI dans son interface balancer-manager, avec pour conséquence une vulnérabilité de script intersite.

• CVE-2013-1048

  Hayawardh Vijayakumar a remarqué que le script apache2ctl créait le répertoire de verrouillage de façon non sécurisée, permettant à un attaquant local d'augmenter ses droits à l'aide d'une attaque de lien symbolique. C'est un problème spécifique à Debian.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 2.2.16-6+squeeze11.

Pour la distribution testing (Wheezy), ces problèmes seront corrigés dans la version 2.2.22-13.

Pour la distribution unstable (Sid), ces problèmes seront corrigés dans la version 2.2.22-13.

Nous vous recommandons de mettre à jour vos paquets apache2.